核心技術預覽

Docker核心是一個作業系統級虛擬化方法, 理解起來可能並不像VM那樣直觀。我們從虛擬化方法的四個方面：隔離性、可配額/可度量、便攜性、安全性來詳細介紹Docker的技術細節。

2.1. 隔離性: Linux Namespace(ns)

每個使用者例項之間相互隔離, 互不影響。 一般的硬體虛擬化方法給出的方法是VM，而LXC給出的方法是container，更細一點講就是kernel namespace。其中pid、net、ipc、mnt、uts、user等namespace將container的程序、網路、訊息、檔案系統、UTS("UNIX Time-sharing System")和使用者空間隔離開。

1) pid namespace

不同使用者的程序就是通過pid namespace隔離開的，且不同 namespace 中可以有相同pid。所有的LXC程序在docker中的父程序為docker程序，每個lxc程序具有不同的namespace。同時由於允許巢狀，因此可以很方便的實現 Docker in Docker。

2) net namespace

有了 pid namespace, 每個namespace中的pid能夠相互隔離，但是網路埠還是共享host的埠。網路隔離是通過net namespace實現的， 每個net namespace有獨立的 network devices, IP addresses, IP routing tables, /proc/net 目錄。這樣每個container的網路就能隔離開來。docker預設採用veth的方式將container中的虛擬網絡卡同host上的一個docker bridge: docker0連線在一起。

3) ipc namespace

container中程序互動還是採用linux常見的程序間互動方法(interprocess communication - IPC), 包括常見的訊號量、訊息佇列和共享記憶體。然而同 VM 不同的是，container 的程序間互動實際上還是host上具有相同pid namespace中的程序間互動，因此需要在IPC資源申請時加入namespace資訊 - 每個IPC資源有一個唯一的 32 位 ID。

4) mnt namespace

類似chroot，將一個程序放到一個特定的目錄執行。mnt namespace允許不同namespace的程序看到的檔案結構不同，這樣每個 namespace 中的程序所看到的檔案目錄就被隔離開了。同chroot不同，每個namespace中的container在/proc/mounts的資訊只包含所在namespace的mount point。

5) uts namespace

UTS("UNIX Time-sharing System") namespace允許每個container擁有獨立的hostname和domain name, 使其在網路上可以被視作一個獨立的節點而非Host上的一個程序。

6) user namespace

每個container可以有不同的 user 和 group id, 也就是說可以在container內部用container內部的使用者執行程式而非Host上的使用者。

2.2 可配額/可度量 - Control Groups (cgroups)

cgroups 實現了對資源的配額和度量。 cgroups 的使用非常簡單，提供類似檔案的介面，在 /cgroup目錄下新建一個資料夾即可新建一個group，在此資料夾中新建task檔案，並將pid寫入該檔案，即可實現對該程序的資源控制。groups可以限制blkio、cpu、cpuacct、cpuset、devices、freezer、memory、net_cls、ns九大子系統的資源，以下是每個子系統的詳細說明：

1. blkio 這個子系統設定限制每個塊裝置的輸入輸出控制。例如:磁碟，光碟以及usb等等。
2. cpu 這個子系統使用排程程式為cgroup任務提供cpu的訪問。
3. cpuacct 產生cgroup任務的cpu資源報告。
4. cpuset 如果是多核心的cpu，這個子系統會為cgroup任務分配單獨的cpu和記憶體。
5. devices 允許或拒絕cgroup任務對裝置的訪問。
6. freezer 暫停和恢復cgroup任務。
7. memory 設定每個cgroup的記憶體限制以及產生記憶體資源報告。
8. net_cls 標記每個網路包以供cgroup方便使用。
9. ns 名稱空間子系統。

以上九個子系統之間也存在著一定的關係.詳情請參閱官方文件。

2.3 便攜性: AUFS

AUFS (AnotherUnionFS) 是一種 Union FS, 簡單來說就是支援將不同目錄掛載到同一個虛擬檔案系統下(unite several directories into a single virtual filesystem)的檔案系統, 更進一步的理解, AUFS支援為每一個成員目錄(類似Git Branch)設定readonly、readwrite 和 whiteout-able 許可權, 同時 AUFS 裡有一個類似分層的概念, 對 readonly 許可權的 branch 可以邏輯上進行修改(增量地, 不影響 readonly 部分的)。通常 Union FS 有兩個用途, 一方面可以實現不借助 LVM、RAID 將多個disk掛到同一個目錄下, 另一個更常用的就是將一個 readonly 的 branch 和一個 writeable 的 branch 聯合在一起，Live CD正是基於此方法可以允許在 OS image 不變的基礎上允許使用者在其上進行一些寫操作。Docker 在 AUFS 上構建的 container image 也正是如此，接下來我們從啟動 container 中的 linux 為例來介紹 docker 對AUFS特性的運用。

典型的啟動Linux執行需要兩個FS: bootfs + rootfs:

bootfs (boot file system) 主要包含 bootloader 和 kernel, bootloader主要是引導載入kernel, 當boot成功後 kernel 被載入到記憶體中後 bootfs就被umount了. rootfs (root file system) 包含的就是典型 Linux 系統中的 /dev, /proc,/bin, /etc 等標準目錄和檔案。

對於不同的linux發行版, bootfs基本是一致的, 但rootfs會有差別, 因此不同的發行版可以公用bootfs 如下圖:

典型的Linux在啟動後，首先將 rootfs 設定為 readonly, 進行一系列檢查, 然後將其切換為 "readwrite" 供使用者使用。在Docker中，初始化時也是將 rootfs 以readonly方式載入並檢查，然而接下來利用 union mount 的方式將一個 readwrite 檔案系統掛載在 readonly 的rootfs之上，並且允許再次將下層的 FS(file system) 設定為readonly 並且向上疊加, 這樣一組readonly和一個writeable的結構構成一個container的執行時態, 每一個FS被稱作一個FS層。如下圖:

得益於AUFS的特性, 每一個對readonly層檔案/目錄的修改都只會存在於上層的writeable層中。這樣由於不存在競爭, 多個container可以共享readonly的FS層。 所以Docker將readonly的FS層稱作 "image" - 對於container而言整個rootfs都是read-write的，但事實上所有的修改都寫入最上層的writeable層中, image不儲存使用者狀態，只用於模板、新建和複製使用。

上層的image依賴下層的image，因此Docker中把下層的image稱作父image，沒有父image的image稱作base image。因此想要從一個image啟動一個container，Docker會先載入這個image和依賴的父images以及base image，使用者的程序執行在writeable的layer中。所有parent image中的資料資訊以及 ID、網路和lxc管理的資源限制等具體container的配置，構成一個Docker概念上的container。如下圖:

2.4 安全性: AppArmor, SELinux, GRSEC

安全永遠是相對的，這裡有三個方面可以考慮Docker的安全特性:

1. 由kernel namespaces和cgroups實現的Linux系統固有的安全標準;
2. Docker Deamon的安全介面;
3. Linux本身的安全加固解決方案,類如AppArmor, SELinux;

由於安全屬於非常具體的技術，這裡不在贅述，請直接參閱Docker官方文件。